×

不一致的国际数据隐私法
  

贺颖卿 1766

{{ttag.title}}

中国新的网络安全法已经生效,这意味着全球范围内新增一个国际数据隐私法,这可能给跨国企业带来更多挑战。

企业可以在2018年再开始遵守欧盟的《一般数据保护条例》(GDPR),与欧盟GDPR相同,中国的数据隐私法于2016年11月获得批准,并于2017年6月1日生效。新法律主要适用于“网络运营商”和“关键信息基础设施(CII)”,有专家表示该法律在定义方面过于广泛。

“对此,该法律表明,任何维护计算机网络的公司(甚至在自己办公室内),都可被认定为’网络运营商’,这个解释足以包含大部分公司。那些通过网络在中国内部开展业务的境外公司也可能涵盖在内,”纽约国际律师事务所Proskauer隐私法博客专家指出,“CII提供商通常被视为“可能损害中国国家安全或公共利益的服务(丢失或遭破坏)”,该法律将信息服务、某公司、水资源和公共服务命名为其他服务提供商,政府对哪些类型的公司可能被视为CII提供商拥有最终解释权。”

尽管目前尚不清楚中国的数据隐私法适用哪些情况,但责任很明确,包括:

  • 收集个人信息需要获得用户同意;
  • 保存网络安全事件日志;
  • 修复漏洞并部署网络安全计划;
  • 备份和加密数据;
  • 在中国存储中国公民和非公民数据。

不一致的国际数据隐私法

中国新的网络安全法给试图遵守各种国际数据隐私法的企业带来另一种挑战。

根据企业协作软件制造商Synchronoss公司全球数据隐私官Deema Freji表示,国际数据隐私法的麻烦在于,全球有很多隐私法,所有隐私法都有各自不同的解释和细微差别。

“有些是针对具体国家,有些则针对具体行业。随着技术不断发展,数据正在随时随地以电子方式传输,并跨越国界。企业很难确定哪些法律适用于其数据,”Freji称,“是存储数据国家的法律,数据解密所在国家的法律,还是数据传输国家的法律?你可以想象,这些都是难以回答的问题,事实上,有些企业向法庭发问,试图得到一些指导意见。”

Druva公司首席信托官Drew Nielsen称,在国际数据隐私法方面达成共识更像是迫使国家保护其他国家的某些利益。

“如果你看看GDPR,这是关于让公民控制自己的信息,而欧盟内成员国可在现行法规之上,对处理器和控制器提出更严格的要求,”Nielsen指出,“另一方面,面对某公司络安全法的企业必须承担暴露核心技术和知识产品给中国政府造成的影响。”

Privacy Professor公司首席执行官Rebecca Herold称,在国际数据隐私法之间构建一致性方面并没有太多进展。

“现在世界各地存在很多类型的隐私和安全法律;单在美国就有数千种。在各个国家之间并没有建立共识。然而,对于某些特定类型的活动和数据,例如信用卡数据,全球都必须遵守相同的标准;这也是一种共识,”Herold说道,“在隐私和安全方面很少有共识,但总体而言,目前世界各地有成千上万种不同的法律、法规和标准,每个国家、地区甚至城市都会有所不同。”

遵守各种数据隐私法

面对各种国际数据隐私法,跨国企业保持合规性并不容易。

Goldberg &Clements PLLC公司董事长兼诉讼人Richard Goldberg表示,这些国家法还可能相互矛盾。

“当美国政府要求在欧盟设有某公司(或数据存储)的公司提供文件时,该公司可能受到欧盟法律的约束,禁止传输文件给美国。(在某些情况下,该公司还需要获得员工的许可)。新增加的限制肯定让其难以跨国维持员工,”Goldberg称,“在很多情况下,我都建议跨国企业他们应该避免进军某些国家,即使那些国家拥有似乎有利可图的业务增长水平,但风险和相关监管成本太高。”

Herold称,企业需要建立正确的流程以确保遵守各种国际数据隐私法。

“在企业设有某公司或者拥有员工、客户、客户端、患者和承包商的所有地点,企业必须遵守所有安全和隐私法律、法规、标准和法律要求,”Herold指出,“如果他们不这样做,他们会发现自己不符合合规性,并可能面临罚款、其他类型的处罚,甚至被勒令停止在这些地点的业务。”

Varonis Systems公司现场工程副总裁Ken Spinner等专家称,试图在每个地区保持合规性可能太难。

“我认为对于全面合规性并没有捷径,特别是越来越多跨境法规得以制定,”Spinner表示,“然而,数据保护专业人士会告诉你,如果你选择法律最严格的国家(例如德国),你基本可满足其他地方的大部分法律要求。”

Nielsen称,第一步是“了解你的数据攻击面情况,并完全清楚企业收集以及处理的数据类型,以及相关影响。”

“接着,了解你企业涉足的国家和地区。然而,选择具有足够重叠控制的安全和合规框架,涵盖所有地区最广泛的要求,”Nielsen称,“没有合规框架可涵盖100%的控制,但企业可选择最适合其业务的框架,尽量减少合规工作。”

Freji指出,尽管国际数据隐私法有不同的细微差别,根基一般相同,同时,了解你的数据流向以及谁可访问数据是很好的起点。

“作为基准框架,企业必须确保他们能够保护数据;确保在收集数据时获得许可;确保员工在安全和隐私方面得到培训,并根据其业务所在地理区域,确定需要遵守哪些法规,”Freji称,“他们将需要对数据进行分类,因为这些法律并不适用于企业所有信息,而只是其中部分。企业需要认识到,很多国家还在制定其法律,或者在试图跟上快速发展的技术进步,监管意图与电子数据如何创建、存储、处理和移动的现实之间通常会有一段鸿沟。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人